安全掃描如何運作

安全掃描有兩個個別階段:「探索」和「測試」。

探索階段

當您執行內容掃描工作時,「探索」階段便即開始:

  1. 掃描以使用者身分來搜索應用程式,首先是您在工作內容中提供的起始 URL。它試圖尋找應用程式中每個未濾除的鏈結。掃描有任何限制(如「掃描限制」),「探索」程序也一律適用。
  2. 建立應用程式內的 URL 清單。
  3. 分析 URL 來提供進行安全測試所需要的資訊。

測試階段

「測試」階段是從「探索」分析的結果開始。AppScan® Enterprise Server 會根據這項分析來建立測試,然後執行下列動作:

  1. 傳送一枚指紋,這是開始掃描時的一項特殊要求,通知網站管理員,接下來一系列的要求,將用來測試 Web 伺服器的安全問題。
  2. 登入應用程式中每個需要鑑別的 URL。
  3. 在 URL 上執行初步測試,這有助於解譯結果。
  4. 傳送專為了揭露安全問題而設計的要求來測試 URL。它會以各種變式來重新傳送要求;大約每個參數 40 個變式。伺服器會拒絕其中的部分要求,但多數都會通過,並由 AppScan Enterprise Server 處理。
  5. 記錄每個要求的回應,其位於關於此問題報告中。如果要開啟關於此問題報告,請按一下Issue number
  6. 判斷測試結果。